① はじめに
SOC(Security Operations Center)でTrend Micro Deep Security(以下、DS)の運用を担当していると、日々大量のイベントログと向き合います。しかし、DSのログ調査には特有の課題がありました。
イベントIDの説明が直訳的で分かりにくい
ログ単体では判断できない (時系列での確認が手間)
エスカレーション判断が属人化しやすい
今回は、生成AIを活用して、 「ログの要約」 と 「対応判断の補助」 を劇的に効率化した事例を共有します。
この記事の対象読者
DSの運用に携わっているSOCエンジニア、またはセキュリティ運用の自動化に興味がある方。
② ログをどうやってAIに渡すか?
「AIが自動で監視している」わけではなく、実務では以下のフローで活用します。
[活用フロー]
特定事象: 管理画面からログをコピー ➡ AIにペースト
一括調査: ログをCSVエクスポート ➡ AIにファイル読み込ませ
機密情報(IPアドレス、ホスト名等)の取り扱いには、必ず各組織のセキュリティポリシーに従ってください。
③ 活用事例1:イベントIDの「対」を判定させる
DSには、 ID 730(不通) と ID 731(復旧) のように、ペアで発生するログが多くあります。これらをAIに「5分以内に復旧していれば瞬断」といった判断基準と共に渡すことで、調査を自動化できます。
📋 実際のプロンプト例
指示
以下のDeep Securityログを解析し、現在のステータスと必要なアクションを要約してください。
判断基準
・不通(730)から5分以内に復旧(731)している場合は「瞬断」とみなし、対応不要とする。
・5分以上復旧のログがない場合は「要調査」として報告対象とする。
ログ
[2026-04-01 10:00:00] ID:730 Manager へのハートビート不通
[2026-04-01 10:02:00] ID:731 Manager へのハートビート復旧
💡 実行結果
診断結果:一時的な瞬断(対応不要)
発生から2分で復旧が確認されました。ネットワークの瞬断によるものと考えられます。現在は正常稼働しているため、緊急の報告は不要です。
④ 活用事例2:汎用的な優先度判定への応用
複数の状況が絡む「優先度判定」もAIの得意分野です。
📋 プロンプト例(優先度の自動付与)
指示
以下のセキュリティイベントを、SOCの判断基準に基づき「対応優先度」を判定してください。
判断基準
・本番環境(Prod)かつ「不正プログラム検知」の場合は【High】。
・開発環境(Dev)での「設定不整合(ID 10)」は【Low】。
・それ以外で、過去1時間に5回以上繰り返されているものは【Medium】。
ログ
ターゲット:Server-Prod-01
イベント:ID 100 不正プログラムの検知(隔離済み)
ファイルパス:/tmp/unknown_script.sh
⑤ おわりに
AIに判断ロジックを教えておくことで、ログを「点」ではなく 「線(文脈)」 で捉えられるようになります。
DSのようにイベントID体系が整理されている製品ほど、AIによる一次切り分けの恩恵は非常に大きいです。